La ‘mosca’ ha sido aplastada – Krebs sobre seguridad

Un hombre ucraniano que se atribuyó la responsabilidad de organizar una campaña para enviar heroína a mi casa el verano pasado fue arrestado en Italia bajo sospecha de traficar con cuentas de tarjetas de crédito robadas, entre otras cosas, según pudo saber KrebsOnSecurity.com.

El verano pasado, a propósito de nada, un ciberdelincuente infame conocido como «Volar,” “petardo» y «Muxacc” comenzó a enviarme tweets profanos y burlones. Además de esto, publicó mi informe crediticio en su blog y cambió su foto de perfil de Twitter por una imagen de una figura de acción sosteniendo mi cabeza cortada.

Lo único que sabía sobre Fly entonces era que era el fundador y administrador de un foro criminal en idioma ruso muy bien guardado llamado thecc.bz (la parte “cc” se refiere a las tarjetas de crédito). Fly también fue un moderador de confianza en Mazafakauno de los foros de cardado ruso más exclusivos y venerables en línea en la actualidad.

Poco después de que Fly comenzara a enviar esos tuits desagradables, obtuve acceso en secreto a su foro, donde supe que había tramado un complot para comprar heroína en el Ruta de la Sedaenviarlo a mi casa y luego falsificar una llamada de uno de mis vecinos a la policía local cuando llegaron las drogas (ver Correo de Velvet Cybercrime Underground).

Afortunadamente, pude advertir a la policía con anticipación e incluso rastrear el paquete junto con el resto de los miembros del foro gracias a un enlace de seguimiento de USPS que Fly había publicado en un hilo de discusión en su foro.

Enojado porque había frustrado su plan de arrestarme por posesión de drogas, Fly hizo que un florista local enviara un llamativo arreglo floral en forma de cruz gigante a mi casa, completo con un mensaje amenazante dirigido a mi esposa y firmado: «Cangrejos de terciopelo».

Después de este incidente, sentí una gran curiosidad acerca de la identidad de este individuo de Fly, por lo que comencé a buscar en las bases de datos de los foros de delitos cibernéticos y tarjetas pirateadas. Mi primera oportunidad real se produjo cuando una empresa rusa de informática forense Grupo-IB proporcionaron una pieza clave del rompecabezas (también fueron muy útiles en la investigación de la heroína). Group-IB descubrió que en el ya desaparecido vulnes[dot]comFly mantuvo una cuenta con el apodo Flycracker y se registró con la dirección de correo electrónico [email protected] (.es el código de país de Italia).

Según una fuente confiable en la comunidad de seguridad, esa cuenta de correo electrónico se vio comprometida de alguna manera el año pasado. La fuente dijo que la cuenta estaba llena de informes enviados por correo electrónico desde un dispositivo de registro de teclas que estaba vinculado a otra dirección de correo electrónico: [email protected] (según Google, [email protected] es la dirección de correo electrónico de recuperación para [email protected]).

Esos informes de registro de teclas contenían información valiosa y indicó que Fly había colocado un keylogger en la computadora de su esposa Irina. En varias ocasiones, esos correos electrónicos muestran que la esposa de Fly escribió su dirección de Gmail, que incluía su nombre y apellido reales: Irina Gumeniuk.

Más tarde, Gumenyuk cambiaría el apellido en varios de sus perfiles de redes sociales en línea a Vovnenko. Incluso mencionó a su esposo por su nombre varias veces en correos electrónicos a amigos, identificándolo como «Sergei Vovnenko», de 28 años. La información de pago contenida en esos correos electrónicos, incluido el envío y otra información de la cuenta, ubica a la feliz pareja y a su pequeño hijo en Nápoles, Italia.

La semana pasada, los administradores del foro de Mazafaka comenzaron a eliminar la cuenta y las publicaciones de Fly del foro. Por lo general, hacen esto cuando se sospecha que uno de sus miembros ha sido arrestado por la policía, pero en este caso nadie en Maza parecía saber qué había sido de Fly. Una cosa estaba dolorosamente clara, el foro de Fly — thecc[dot]bz: había estado fuera de línea durante casi una semana y nadie había tenido noticias de Fly durante tanto tiempo.

Según la información recopilada de los diversos perfiles de redes sociales de Vovnenko, nació en San Petersburgo, Rusia, pero es ciudadano ucraniano. Ni Sergei ni Irina Vovnenko respondieron a las solicitudes de comentarios.

Una fuente del gobierno confirmó que Vovnenko fue arrestado a principios de este mes en Nápoles después de una investigación conjunta de agentes de la ley italianos y estadounidenses. Otra fuente del gobierno dijo que Vovnenko fue arrestado mientras llevaba documentos de identificación con un nombre falso: sergei volneov. Según los informes, se encuentra recluido en una cárcel italiana a la espera de ser extraditado a los Estados Unidos, aunque es posible que primero sea juzgado en Italia.

Los investigadores le dijeron a KrebsOnSecurity que Vovnenko habitualmente compraba volcados de tarjetas de crédito italianas y cobraba las tarjetas robadas a través de tiendas italianas de alta gama, y ​​que posee una variedad de equipos para estampar e imprimir tarjetas de crédito.

Este caso es otro recordatorio de que nadie es anónimo y que la seguridad operativa es difícil de hacer bien de manera consistente. Pero aquí hay un consejo profesional: si eres un gran ciberdelincuente y planeas registrar las teclas de la computadora de tu cónyuge, probablemente sea mejor borrar los mensajes una vez que los hayas leído.